Попробовать

Группа виртуальных ЦОД (DCG)

Data Center Groups (DCG) — это группа виртуальных ЦОД, для которых доступно совместное использование сетей и централизованное сетевое администрирование. Функция создания DCG позволяет объединить в группу до 16 виртуальных ЦОД. Внутри DCG можно настроить сетевое взаимодействие для прохождения East-West трафика между VM, которые размещаются в одном тенанте, но в разных виртуальных ЦОД.

../../_images/sch__dcg.svg

Функция создания DCG доступна для виртуальных ЦОД с NSX-T. Если вы работаете с NSX-V, воспользуйтесь похожей функцией Shared.

Чтобы посмотреть существующие DCG, перейдите в раздел Networking → Data Center Groups.

../../_images/s__view-dcg.png

Для начала работы с DCG выполните следующие шаги:

  1. Создание DCG.

  2. Добавление Edge Gateway в DCG.

  3. Создание сети в DCG.

Дополнительные настройки:

См.также

Другие способы описаны в разделе Сетевое взаимодействие между виртуальными ЦОД.

Создание DCG

  1. Перейдите в раздел Networking → Data Center Groups.

  2. Нажмите NEW. Откроется окно Create VDC Group.

  3. В разделе Starting VDC выберите виртуальный ЦОД с NSX-T.

  4. В разделе General укажите:

    • Name — название DCG;

    • (опционально) Description — описание DCG.

  5. В разделе Participating VDCs выберите виртуальные ЦОД, которые необходимо добавить в DCG. В одной группе DCG может быть до 16 виртуальных ЦОД.

  6. В разделе Review проверьте указанные данные и нажмите FINISH.

Новая группа DCG появится в списке. Нажмите на название DCG, чтобы открыть ее параметры: список виртуальных ЦОД, сетей, Edge Gateway, настройки безопасности.

../../_images/s__dcg-param.png

Далее добавьте в DCG Edge Gateway и создайте сеть.

Добавление Edge Gateway в DCG

Для маршрутизации трафика из DCG во внешнюю сеть добавьте в DCG Edge Gateway с типом NSX-T.

Добавленный в DCG Edge Gateway становится общим для всех виртуальных ЦОД в группе. Все сети типа Routed, подключенные к Edge Gateway, становятся сетями DCG и ограничиваются областью DCG.

Чтобы добавить в DCG Edge Gateway, обратитесь в техническую поддержку. При обращении сообщите:

  • название тенанта;

  • название Edge Gateway, который нужно добавить в DCG;

  • название DCG.

Создание сети в DCG

По умолчанию в DCG нет сетей. Для сетевого взаимодействия VM из разных виртуальных ЦОД добавьте в DCG сеть типа Isolated или Routed.

Для Routed-сетей сначала запросите добавление Edge Gateway в DCG. Все Routed-сети, подключенные к данному Edge Gateway, автоматически станут доступны всем виртуальным ЦОД в DCG.

Чтобы добавить сеть в DCG:

  1. Перейдите в раздел Networking → Data Center Groups.

  2. Нажмите на название DCG.

  3. В разделе Networks нажмите NEW.

  4. Заполните разделы формы стандартным способом, который описан в разделах:

    Если вы создаете сеть не из параметров DCG, а из раздела Networking → Networks или из параметров виртуального ЦОД, на шаге Scope выберите «Data Center Group», а затем нужную группу DCG из списка.

    ../../_images/s__dcg-net-scope.png

После создания сети подключите к ней VM из разных виртуальных ЦОД и проверьте сетевую связность между ними. Информация об этом есть в разделе Назначение сети.

Изменение DCG

Чтобы изменить название или описание DCG:

  1. Перейдите в раздел Networking → Data Center Groups.

  2. Нажмите на название DCG.

  3. В разделе General в блоке General Details нажмите EDIT.

  4. В открывшейся форме отредактируйте параметры и нажмите SAVE.

../../_images/s__dcg-edit.png

Чтобы изменить список виртуальных ЦОД в DCG:

  1. Перейдите в раздел Networking → Data Center Groups.

  2. Нажмите на название DCG.

  3. В разделе Participating VDCs нажмите MANAGE.

  4. В открывшейся форме отредактируйте список виртуальных ЦОД и нажмите SAVE.

../../_images/s__dcg-manage.png

Удаление DCG

Перед удалением DCG удалите сети, которые относятся к этой группе:

  1. Перейдите в раздел Networking → Data Center Groups.

  2. Нажмите на название DCG.

  3. В разделе Networks выберите сеть из списка, нажав на переключатель слева от названия.

  4. Сверху появится кнопка DELETE. Нажмите на нее, чтобы удалить сеть DCG.

../../_images/s__dcg-delete-net.png

Чтобы удалить DCG:

  1. Перейдите в раздел Networking → Data Center Groups.

  2. Выберите DCG из списка, нажав на переключатель слева от названия.

  3. Сверху появится кнопка DELETE. Нажмите на нее, чтобы удалить DCG.

../../_images/s__dcg-delete.png

Добавление DFW в DCG

Чтобы создать единую политику безопасности для сетей и VM в DCG, добавьте в нее сервис DFW. Распределенный межсетевой экран (Distributed Firewall, DFW) позволяет фильтровать трафик East-West между VM внутри сети облака без использования Edge Gateway.

Фильтровать трафик VM позволяют политики безопасности. DFW упрощает контроль политик за счет централизованного управления.

Важно

Сервис DFW — дополнительная платная услуга, поэтому по умолчанию он отключен. Чтобы заказать DFW, обратитесь в техническую поддержку. При обращении сообщите:

  • название тенанта;

  • название группы DCG.

После подключения DFW создайте наборы IP-адресов и сетей (IP Set), затем создайте правила DFW.

Создание IP Set

Перед созданием правил DFW создайте наборы IP-адресов и сетей (IP Set), к которым будут применяться правила DFW. Объединение нескольких объектов в IP Set позволяет сократить количество правил DFW.

Чтобы создать IP Set:

  1. Перейдите в раздел Networking → Data Center Groups.

  2. Нажмите на название DCG.

  3. В разделе Security → IP Set нажмите NEW.

  4. Заполните открывшуюся форму:

    • Name — название IP Set.

    • (Опционально) Description — описание.

    • IP Addressess — IP-адрес, диапазон IP-адресов или подсеть в формате IP-адрес/длина префикса, например «a.a.a.0/24».

  5. Нажмите ADD, затем SAVE.

../../_images/s__dcg-ip-set.png

Создание правила DFW

Перед началом убедитесь, что:

  • В DCG добавлен DFW.

  • Существуют все необходимые IP Set, к которым планируется применить правило DFW.

Чтобы создать правило DFW:

  1. Перейдите в раздел Networking → Data Center Groups.

  2. Нажмите на название DCG.

  3. В разделе Distributed Firewall нажмите EDIT RULES.

  4. Нажмите New on Top, чтобы добавить правило DFW.

  5. Заполните строку правила:

    • Name — укажите название правила.

    • State — активируйте переключатель, чтобы включить правило.

    • (опционально) Applications — если нужно выбрать конкретный порт назначения в VM:

      • нажмите на Редактировать;

      • активируйте переключатель Choose a specific application;

      • выберите профиль из списка;

      • нажмите SAVE.

    • (опционально) Context — выберите профиль «NSX-T Data Center».

    • Source — выберите источник трафика:

      • нажмите на Редактировать;

      • активируйте переключатель Any Source, чтобы выбрать все доступные источники трафика, или укажите отдельные источники из списка;

      • нажмите SAVE.

    • Destination — выберите адрес назначения, куда будет поступать трафик:

      • нажмите на Редактировать;

      • активируйте переключатель Any Destination, чтобы выбрать все доступные адреса назначения, или укажите отдельные адреса из списка;

      • нажмите SAVE.

    • Action — из раскрывающегося списка выберите нужную опцию:

      • «Allow» — пропускать трафик;

      • «Deny» — блокировать трафик.

    • IP Protocol — из раскрывающегося списка выберите, следует ли применять правило к трафику IPv4 или IPv6.

    • Enable logging — при необходимости регистрировать фильтрацию, выполняемую этим правилом, активируйте переключатель.

  6. Нажмите SAVE.